「明日から新しい職場だ」と意気込んだその朝、会社のネットワークが全滅していたら、あなたはどうする?
これはSFではない。米国で話題の技術小説『Project Zero Trust』(George Finney著)の冒頭で、主人公ディランを襲った現実だ。
この物語は、ランサムウェア被害に遭った企業が、単なる復旧ではなく「ゼロトラスト」という新たな戦略で生まれ変わるまでの記録である。
ZTRラボではこの名著を教本とし、予算も権限も限られる日本の中堅企業が、いかにしてゼロトラストを実装すべきかを解読していく。
第1回は、「従来型セキュリティ(境界防御)の敗北」と、そこからの「覚醒(パラダイムシフト)」についてだ。
この記事は『Project Zero Trust』特集の一部です。全記事一覧はこちら↓
Scenario:悪夢の初出社
主人公のディランは、フィットネス機器メーカー「March Fitness」のインフラ部長として採用された。
しかし、初出社の朝、自宅のスマート・トレッドミル(自社製品)が動かない。ニュースを見ると、会社が大規模なサイバー攻撃を受けていると報じられている。
オフィスに到着した彼が見たのは、地獄絵図だった。
ディランは問われる。
「我々は多層防御(Defense in Depth)を導入していたはずだ。なぜ防げなかったのか?」
答えは残酷だった。
「『信頼(Trust)』という脆弱性を放置していたからだ」
Insight:なぜ「防御」は破られたのか?
作中で指摘される痛烈な事実は、日本の多くの企業にも当てはまる。
1. 「多層防御」は「多額の出費(Expense in Depth)」に過ぎない
ファイアウォール、ウイルス対策ソフト、IDS/IPS……。壁を何重にも築いても、「一度内側に入れば信頼する(Trust)」という設計思想がある限り、攻撃者は正規のVPNアカウントを使って正面から堂々と侵入し、内部で自由に動き回る。
March Fitness社も、多くのツールを入れていたが、侵入後の「横展開(ラテラルムーブメント)」を許してしまった。
2. 戦略なきツール導入
経営層(CEO)はディランにこう告げる。
「ビジネスの他の目標には『戦略』があるのに、セキュリティには『これを買えば安心』というツールしかなかった。ゼロトラストは製品名ではない。我々の新しい『セキュリティ戦略』だ」
これが最大の教訓だ。ゼロトラストとは、何かを買うことではない。「誰も、何も信用しない」という戦略に切り替えることなのだ。
ZTR Solution:日本の中堅企業ならどう動く?
もしあなたがディランの立場(情シス部長)なら、焼け野原となった社内で何をすべきか?
ZTRラボなら、以下の手順で動くよう指示する。
Step 1. 「犯人探し」より「止血」を優先せよ
作中のCIOも、犯人の特定(警察任せ)より、ビジネスの復旧(Business Continuity)を最優先した。
まずは「全社員のパスワードリセット」と「外部接続の遮断」だ。泥棒がまだ家の中にいるかもしれない状態で、鍵だけ変えても意味がない。
Step 2. 「元に戻す」な、「作り変えろ」
多くの企業は、バックアップからシステムを復旧し、「事故前と同じ構成(境界防御)」に戻してしまう。これでは、数ヶ月後にまた同じ手口でやられる。
復旧のタイミングこそが、「脱VPN」「多要素認証(MFA)の強制」といった、平時には反発が大きくて導入できなかったゼロトラスト施策を一気に通す(Emergency Change)千載一遇のチャンスだ。
Step 3. 「守るべきもの」を定義せよ(Protect Surface)
「ネットワーク全体」を守ろうとするから失敗する。
まずは「顧客データ」「生産ライン」など、ビジネスの心臓部となる「守るべき領域(Protect Surface)」を特定し、そこだけを徹底的に守るマイクロセグメンテーションから始めよ。
Action:今週のタスク
物語の中で、ディランは「ゼロトラスト導入プロジェクト」のリーダーに任命された。
彼が最初にやったことは、高額な製品のカタログを集めることではない。「ビジネスがどうやってお金を稼いでいるか」を知ることだった。
あなたも、まずはここから始めてほしい。
次回予告:
プロジェクトを開始したディランを待っていたのは、技術的な課題ではなく「社内政治」という名の怪物だった。
👉 Vol.2 【政治編】「最大の敵はハッカーではなく『社内』にいる」 に続く。
👉『Project Zero Trust』特集トップへ戻る
この連載の元となった書籍『Project Zero Trust』は、技術書とは思えないほどドラマチックな小説です。 詳しい内容はこちらの書評記事で紹介しています。
